共用方式為

受信任的 Azure 服务

如果需要在网络边界之外启用来自 Azure 服务的流量,可以添加 网络安全异常。 当 Azure 服务从无法包含在您的虚拟网络或 IP 网络规则中的网络运行时,这一点十分有用。 例如,某些服务可能需要读取帐户中的资源日志和指标。 可以通过创建网络规则例外来允许对日志文件、指标表或两者进行读取访问。 这些服务使用强身份验证连接到存储帐户。

若要了解如何添加网络安全异常,请参阅 管理网络安全异常

在 Microsoft Entra 租户中注册的资源的受信任访问

某些服务中的资源可以访问所选作的存储帐户,例如写入日志或运行备份。 这些服务必须在与存储帐户位于同一 Microsoft Entra 租户的订阅中注册。 下表描述了每个服务及其允许的操作。

Service 资源提供者名称 Allowed operations
Azure 备份 Microsoft.RecoveryServices 在基础结构即服务 (IaaS) 虚拟机中运行非托管磁盘的备份和还原(不需要对托管磁盘这样做)。 Learn more.
Azure Data Box Microsoft.DataBox 将数据导入 Azure。 Learn more.
Azure 数据资源管理器 Microsoft.Kusto 读取用于引入和外部表的数据,并将数据写入外部表。 Learn more.
Azure 事件网格 Microsoft.EventGrid 启用 Azure Blob 存储事件发布并允许发布到存储队列
Azure 事件中心 Microsoft.EventHub 使用事件中心捕获来存档数据。 Learn More.
Azure 文件同步 Microsoft.StorageSync 将本地文件服务器转换为 Azure 文件共享的缓存。 此功能允许多站点同步、快速灾难恢复和云备份。 Learn more.
Azure HDInsight Microsoft.HDInsight 为新的 HDInsight 群集预配默认文件系统的初始内容。 Learn more.
Azure Import/Export Microsoft.ImportExport 将数据导入 Azure 存储或从 Azure 存储导出数据。 Learn more.
Azure Monitor Microsoft.Insights 将监视数据写入安全存储帐户,包括资源日志、Microsoft Defender for Endpoint 数据、Microsoft Entra 登录和审核日志,以及 Microsoft Intune 日志。 Learn more.
Azure 网络服务 Microsoft.Network 存储和分析网络流量日志,包括通过 Azure 网络观察程序和 Azure 流量管理器服务。 Learn more.
Azure Site Recovery Microsoft.SiteRecovery 使用启用了防火墙的缓存、源或目标存储帐户时,请启用复制,以实现 Azure IaaS 虚拟机的灾难恢复。 Learn more.

基于托管标识的受信任访问权限

下表列出了可访问你的存储帐户数据的服务(如果这些服务的资源实例有相应的权限)。

Service 资源提供者名称 Purpose
Azure API 管理 Microsoft.ApiManagement/service 允许通过策略访问防火墙后面的存储帐户。 Learn more.
Microsoft 自治系统 Microsoft.AutonomousSystems/workspaces 支持访问存储帐户。
Azure Cache for Redis Microsoft.Cache/Redis 支持访问存储帐户。 Learn more.
Azure AI 搜索 Microsoft.Search/searchServices 允许访问存储帐户,以进行索引编制、处理和查询。
Azure AI 服务 Microsoft.CognitiveService/accounts 支持访问存储帐户。 Learn more.
Microsoft 成本管理 Microsoft.CostManagementExports 支持导出到受防火墙保护的存储帐户。 Learn more.
Azure Databricks Microsoft.Databricks/accessConnectors 支持访问存储帐户。 无服务器 SQL 仓库需要额外的配置。 Learn more.
Azure 数据工厂 Microsoft.DataFactory/factories 允许通过数据工厂运行时访问存储帐户。
Azure 数据资源管理器 Microsoft.Kusto/Clusters 读取用于引入和外部表的数据,并将数据写入外部表。 Learn more.
Azure 备份保管库 Microsoft.DataProtection/BackupVaults 支持访问存储帐户。
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL 支持访问存储帐户。
Azure IoT 中心 Microsoft.Devices/IotHubs 允许将 IoT 中心的数据写入 Blob 存储。 Learn more.
Azure 事件网格 Microsoft.EventGrid/domains 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/partnerTopics 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/systemTopics 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/topics 支持访问存储帐户。
Azure Logic Apps Microsoft.Logic/integrationAccounts 使逻辑应用能够访问存储帐户。 Learn more.
Azure Logic Apps Microsoft.Logic/workflows 使逻辑应用能够访问存储帐户。 Learn more.
Azure 机器学习工作室 Microsoft.MachineLearning/registries 支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more.
Azure 机器学习 Microsoft.MachineLearningServices 支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more.
Azure 机器学习 Microsoft.MachineLearningServices/workspaces 支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more.
Azure 媒体服务 Microsoft.Media/mediaservices 支持访问存储帐户。
Azure Migrate Microsoft.Migrate/migrateprojects 支持访问存储帐户。
Azure ExpressRoute Microsoft.Network/expressRoutePorts 支持访问存储帐户。
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies 支持访问存储帐户。
Microsoft Purview Microsoft.Purview/accounts 支持访问存储帐户。
Azure Site Recovery Microsoft.RecoveryServices/vaults 支持访问存储帐户。
Azure SQL 数据库 Microsoft.Sql 允许 将审核数据写入防火墙后面的存储帐户
Azure SQL 服务器 Microsoft.Sql/servers 允许 将审核数据写入防火墙后面的存储帐户
Azure Synapse Analytics Microsoft.Sql 允许将 COPY 语句、PolyBase(在专用池中)或 openrowset 函数与无服务器池中的外部表结合使用来将数据导入和导出特定 SQL 数据库。 Learn more.
Azure 流分析 Microsoft.StreamAnalytics 用于将流式处理作业中的数据写入 Blob 存储。 Learn more.
Azure 流分析 Microsoft.StreamAnalytics/streamingjobs 用于将流式处理作业中的数据写入 Blob 存储。 Learn more.
Azure Synapse Analytics Microsoft.Synapse/workspaces 允许访问 Azure 存储中的数据。

如果帐户未启用分层命名空间功能,可以通过向每个资源实例的 托管标识 显式分配 Azure 角色来授予权限。 在这种情况下,实例的访问范围与分配给托管身份的 Azure 角色相对应。

可以对启用了分层命名空间功能的帐户使用相同的技术。 但是,如果将托管标识添加到存储帐户包含的任何目录或 Blob 的访问控制列表 (ACL),则不必分配 Azure 角色。 在这种情况下,实例的访问范围对应于托管标识有权访问的目录或文件。

还可以将 Azure 角色和 ACL 组合在一起来授予访问权限。 若要详细了解,请参阅 Azure Data Lake Storage 中的访问控制模型

建议使用资源实例规则向特定资源授予访问权限

See also